今日頭條
官方微信
官方抖音
資訊頻道當前IT/OT融合已經成為一種趨勢,本文對融合現狀和管理進行了調研,并為企業的新CISO如何應對融合挑戰提供了一些建議。
IT和OT的深度融合已是大勢所趨,一方面為企業帶來運營效率、性能和服務質量的提高,同時也帶來更大的安全風險等弊端。當面對缺乏專業人員、合規不等于安全、企業領導關注度不足、OT日益嚴峻的威脅等關鍵挑戰時,應對IT/OT融合挑戰的六大關鍵步驟正是企業CISO需要的。
1.IT/OT融合下的利弊
西門子和Ponemon研究所最近發布的調查報告,對供電企業面臨的工業網絡風險進行了探討。調查發現,隨著工業物聯網 (IIoT)的出現,將網絡傳感器和相關軟件與復雜的物理機械結合在一起,IT 和OT 之間的鴻溝正在迅速消散。供電企業的的經營方式逐漸轉變為用太陽能和風能等可再生能源替代傳統發電,并結合資產數字化管理的主流方式,OT(運營技術)資產的數字化為全球公共事業行業帶來了無限商機,也加速了IT(信息技術)和OT的融合。
一半以上的受訪者表示在數字化的推動下,IT/OT融合是一件好事,它有著包括優化業務流程、降低成本、降低風險以及縮短項目時間等優點,同時也是提高供應鏈合作伙伴的信任和信心的重要因素。IT和OT“雙劍合璧”后爆發出巨大的威力。
但IT和OT都有著各自的背景和特性,對兩者進行區分是很重要的,如下表一所示:
表一 IT和OT特性對比
IT | OT | |
市場成熟度 | 1.成熟階段; 2.有先進的網絡知識; | 1.早期階段; 2.意識比較淡薄; |
性能 | 1.非實時、高吞吐量; 2.高延遲和抖動是可以接受的; | 1.實時、適度的吞吐量; 2.高延遲和/或抖動是不能接受的; |
可用性 | 1.可重新啟動; 2.可容忍缺陷; | 1.重新啟動是事故; 2.中斷必須有計劃和提前預定時間; |
交互 | 1.緊急交互不太重要; 2.可以實施限制的訪問控制; | 1.緊急交互的響應是關鍵; 2.應嚴格控制對ICS的訪問; |
操作系統 | 1.使用典型的操作系統; 2.采用自動部署工具是的升級非常簡單; | 1.可能是內置的操作系統,往往沒有內置的安全功能; 2.軟件變更必須小心進行; |
網絡通信 | 1.標準通信協議,如HTTP、FTP; 2.網絡開放,通常與互聯網連接; | 1.很多專有的和標準的通信協議; 2.網絡封閉,通常與互聯網無連接; |
生命周期 | 3-5年的生存周期 | 10-20年 的生存周期; 甚至更陳舊的系統; |
物理環境 | 工作溫度0-45℃ | 工作溫度0-60℃或者-40℃-75℃ |
通常,企業運營團隊在可用性和機密性兩者之間會優先考慮可用性,因此OT網絡通常都缺乏基本的安全防護。在這樣的情況下,有受訪者對兩者的融合表達了擔憂,因為隨著行業內IT/OT集成度越來越高,供電企業的關鍵基礎架構面臨的攻擊和威脅正日益增長,有可能造成嚴重的經濟、環境和基礎設施破壞。全球54%的被調查供電企業預計2020年會遭遇針對運營技術網絡的攻擊。
隨著將大量規模的資產連接在一起,OT安全的風險也越來越大。大量具有不同功能、相互連接的設備分布在不同區域,通過這些連接可以擴展到數以萬計的資產,而保護這些綿延數十上百公里的資產的安全,無疑是一件風險很大的事情,這也成為IT/OT融合的弊端。
2.IT/OT融合的關鍵挑戰
IT/OT的融合面臨著關鍵挑戰:
缺乏專業人員:安全專家無疑是確保IT/OT成功融合的關鍵因素,組建跨職能團隊來管理IT和OT系統中的網絡風險將有助于問題的消除。但企業的風險管理,在46%的情況下是通過內部團隊和外部服務提供商結合進行的,僅是內部團隊或者僅外部服務提供商進行管理的情況則分別是34%和20%。缺乏專業的人員大大延遲了對攻擊的響應——惡意軟件攻擊的響應需要72天!西門子的研究報告也指出,面對融合的安全風險,企業準備明顯不足,只有不到1/3的受訪者表示企業目前所做的準備足以應對可能發生的網絡風險。
合規≠安全:行業內很多企業相信合規性可以給企業帶來安全保障,因此他們按照“法規遵從為中心”的方法來管理企業網絡安全風險,這種方式在一定程度上改善了網絡安全狀況,但是受訪者披露,實現法規的合規并不等于實現良好的安全態勢,僅依賴法規遵從性方法可能會對過去的安全事件做出響應,但面臨新的網絡攻擊時則可能會顯得束手無策。
領導缺乏關注度:此外,企業領導層對IT/OT融合過程中安全的關注度明顯不足,有些企業管理者會覺得近幾年發生的伊朗“震網”病毒攻擊核電站、土耳其原油輸送管遭受網絡攻擊爆炸、烏克蘭遭受網絡攻擊造成大范圍停電等安全事件并沒有把攻擊重點放在自己企業的網絡上。烏克蘭遭受的網絡攻擊主要是破壞國家的基礎架構并令其癱瘓,但仍有大量企業的OT網絡遭受到嚴重影響,如果這些攻擊專門針對工業網絡,后果將不堪設想。
OT威脅日益嚴峻:隨著企業運營的數字化,網絡攻擊范圍已經擴展到OT,與IT環境相比,網絡威脅對缺乏安全防護的OT的影響更大。當網絡攻擊在關鍵能源基礎設施間展開時,可能會對設備造成破壞、給員工帶來風險,并造成企業高機密信息被竊取,OT的威脅成為IT/OT網絡防御的痛點。
3.CISO應對OT/IT融合的六大關鍵步驟
那么在面對往往是陳舊且特有的關鍵業務運營技術(OT)與信息技術(IT)融合在一起產生的沖突時,誰為可能產生的網絡安全風險買單?作為公司的CISO,如何降低企業整體的風險?是購買一種端點檢測和響應(EDR)解決方案?或是將可視化和監視功能引入OT網絡?可能下面的六個步驟是所有新CISO應該采取的最有效保護其OT環境的方式。
步驟1:資產盤點。公司的資產對公司是至關重要的。首先,CISO需要發現和盤點組織中的每項OT資產,對需要保護的內容(數據,軟件,系統)做到全面的了解。缺乏完整而準確的資產盤點,后續步驟將無法最大程度地降低網絡安全風險。
步驟2:備份/測試還原。保護OT系統免受毀滅性勒索軟件攻擊的最有效方法是對OT數據進行備份并進行測試還原,以確保最佳備份。出于多種原因(其中包括安全原因),對系統進行備份可以通過保護網絡免受數據丟失來確保其有效性。正如我們將在步驟5中看到的那樣,連續不斷地標識用于測試還原的相關數據非常重要,通常可以通過詢問企業中的用戶哪些數據對工作最重要,而當進行第一次進行備份/測試還原時,請盡可能全面和深入執行此操作,從而避免數據的丟失和其他問題。
步驟3:軟件漏洞分析。步驟1的資產清單將對企業OT系統中的所有軟件進行盤點,CISO必須清楚每項軟件資產的狀態,并對每個軟件進行漏洞分析。比如軟件的版本?是否有較新的版本(更安全,更有效)的OT系統可以使用?通常對于軟件有一個關鍵性問題:是否需要打補丁?這里建議不要像IT那樣對所有內容自動進行打補丁,因為對OT打補丁是一個復雜而具有挑戰性的過程,需要用整個步驟進行評估。
步驟4:打補丁。盡管在IT中是自動進行打補丁,但在OT中要復雜的多,甚至有時給OT軟件打補丁可能會起到適得其反的效果。一些非常重要的OT系統已經在工廠車間使用了15到25年甚至更長的時間,并且無法拆卸和打補丁,而且即使有適當(且安全)的補丁程序,陳舊的OT可能也沒有足夠的內存或CPU帶寬來安裝。
步驟5:二次備份/測試恢復。每當OT或IT系統中的任何內容發生更改(例如更新)時,備份/測試還原都必須成為一種根深蒂固的習慣。這里有個很重要的建議:持續定期的重復步驟3到5,新漏洞通常在舊軟件中發現。
步驟6:啟用日志。CISO不僅必須知道某件事情是如何工作或失敗的,還必須知道為什么它會失敗,日志記錄這個時候就顯得很重要,通過管理和分析日志,CISO團隊能夠了解環境,盡早發現威脅并優化防御。
隨著越來越多的設備開始加入IIoT 網絡,IT 與OT 之間的界限將逐漸消失,直到成為一個或相同的系統為止。在兩者融合的過程中,如果企業的新CISO采取這六個基本但必不可少的步驟,并習慣性地重復那些需要重復的步驟,那么他們可以確信他們已經做的很扎實,將企業的OT風險降至到最低了。
來源:安全內參
北京市公安局海淀分局備案號:11010802023656號